“遠隔操作ウイルス”の恐怖が、テレビや新聞などのメディアで大きく取り上げられた。今回の事件であらぬ疑いをかけられて、大変な目に遭われた方は本当にお気の毒だが、自分のコンピュータが乗っ取られ、ハッカーの意のままに操られる可能性を知り、PCのセキュリティに関する注意を喚起された人は少なくないだろう。
とはいえ、多くの人は「匿名掲示板や怪しげなサイトなどと無縁の自分は、そもそも“遠隔操作ウイルス”に感染する機会などないので、絶対大丈夫」と思っているかもしれない。しかし、悪意あるソフトウエア(マルウエア)をコンピュータに送り込む方法は、実際にはたくさんある。
現代のハッカーが用いているのが、システムのもっとも弱い部分である“人間”を対象に攻撃する「ソーシャル・エンジニアリング」だ。筆者が編集を担当した、そのものズバリのタイトルの単行本『ソーシャル・エンジニアリング』には、その手法が詳しく紹介されている。
「ソーシャル・エンジニアリング」と聞くと、「関係者や地位の高い人などを装って、電話や電子メールでパスワードその他の情報を聞き出す手口」を思い浮かべる人が多いだろう。筆者もそうだった。
「自分は大丈夫」という自信があっけなく崩れる
筆者は、世の中の平均レベルよりは、セキュリティについて知っているつもりだった。編集者として分厚い専門書を何冊か担当しているし、社内のセキュリティ研修は欠かさず受講している。なりすましやフィッシング・メールに対しても、人一倍注意を払ってきた。しかし、今回の本を読んで、その自信はあっけなく崩れてしまった。
本の中で説明されている、ソーシャル・エンジニアリングの手口の一つを以下に紹介しよう。これは「自信過剰なCEO」が、ソーシャル・エンジニアリング攻撃によって陥落するストーリーだ。
事前の情報収集で標的を丸裸にし、周到な攻撃計画を立てる
標的は米国のあまり大きくない企業で、疑心暗鬼のCEOが自らの手ですべての機密情報を管理していた。その企業のセキュリティ・チームは、社内のシステムに問題があると考え、コンサルタントにセキュリティ監査を依頼した。CEOは、外部から模擬的なハッキング攻撃を仕掛けられることを承知しており、十分な注意を払っていた。
ハッカー役のコンサルタントは、専門の検索ツールを用いて事前にWebで情報収集し、その企業とCEOについて、以下を含めたくさんの事実を把握した。情報の多くは、FacebookなどのSNSで得られた。
- 主な社員の名前と役職
- 社員の電子メール・アドレスの命名規約
- CEOの好きな料理
- CEOが好みのレストランのレビューをWebに何件か投稿していること
- CEOの家族の名前と年齢
- CEOが応援している野球チーム
- CEOが慈善事業に強い関心を持ち、チャリティに毎年参加していること
ハッカー役のコンサルタントは、地元企業を対象にした慈善福引(米国で一般的なチャリティの手法)の受付担当者になりすます、という作戦を立てた。まず、架空の慈善福引に関する資料を、郵送でCEO宛に送付する。この福引は、チャリティの協力者の中から、抽選でヤンキース(CEOのひいきチーム)の試合の入場券と、人気レストラン(CEOが高く評価した店)の食事券が当たるという触れ込みになっている。
